Евгений Опанасенко
редактор раздела Техно Исследователь безопасности Джонатан Лейтш публично объявил об опасной уязвимости "нулевого дня" в приложении для видеоконференций Zoom для macOS. Камера пользователя MacBook может быть взломана простым способом, и хакеры наверняка уже пользуются этим эксплойтом.
Смотрите также в сюжете о том, как смартфоны следят за нами:
Проблема объявилась потому, что Zoom устанавливает локальный веб-сервер, который принимает запросы видеовызовов. Что еще хуже, удаление приложения не приводит к удалению сервера, который затем может переустановить Zoom без вмешательства пользователя.
Эксперт был шокирован тем, насколько просто оказалось получить доступ над MacBook– достаточно просто бросить вредоносную ссылку "жертве" и ноутбук оказывается взломанным. Когда пользователь нажимает на ссылку, компьютер автоматически включает веб-камеру, и злоумышленник может подсматривать за своей "жертвой". Этот способ работает, даже если Zoom был удален ранее. Позднее пользователи в Twitter подтвердили опасения Джонатана.
Этот метод может также использоваться для DDoS-атак на MacBoook или iMac пользователя. Из-за локального веб-сервера злоумышленник может эффективно заблокировать Mac, постоянно пингуя сервер.
Исследователь описал проблему и отправил ее разработчикам Zoom еще в марте. Но спустя 90 дней ошибку не исправили, тем не менее уязвимость к DDoS-атакам была "вылечена". Параллельно эксперт сообщил об этой проблеме Chromium и Mozilla. Позднее Zoom прокомментировали обнаруженную уязвимость, которая удивила Джонатана. Оказалось, это "не баг, а фича", или простым языком, "обходной путь".
"Это обходной путь для изменений, внесенных в Safari 12. Мы считаем, что наш способ обхода является законным решением проблемы плохого взаимодействия, позволяя нашим пользователям проводить более быстрые собрания в один щелчек мыши", – заявил директор по информационной безопасности Zoom Ричард Фарли.
Фарли также уточнил, что без "обходного пути" пользователи должны подтверждать конференцию каждый раз, когда хотят использовать Zoom, что неудобно. Компания заявляет, что не планирует менять эту функцию. Однако в этом месяце будет выпущено обновление, которое позволит программе сохранить настройки пользователя и администратора, касающиеся того, включено ли видео при первом присоединении к вызову или нет.
Напомним, что ранее в MacBook Air нашли скрытую "угрозу". А недавно выяснилось, что Apple 20 лет скрывала опасную ошибку в macOS.
Главные темы